Newsletter IT-Recht. Liebe Leserin, lieber Leser, Inhalt. Informationspflichten bei Data Breach. Ausgabe 1. Halbjahr 2012

Transkript

1 Newsletter IT-Recht Ausgabe Liebe Leserin, lieber Leser, in unserem aktuellen Newsletter IT-Recht widmen wir uns vor allem der aktuellen Entscheidung des EuGH in Sachen UsedSoft, die entgegen der bisher restriktiven deutschen Rechtsprechung den Durchbruch im Handel mit Gebrauchtsoftware darstellt und dieses Geschäftsfeld nachhaltig beeinflussen wird. Im Übrigen steht der Newsletter ganz im Zeichen des Datenschutzes. Der erste Beitrag befasst sich mit dem Thema Data Breach und der für jedes Unternehmen relevanten Frage, wann, wie und gegenüber wem Datenpannen offenzulegen sind. In der aktuellen Fassung des Bundesdatenschutzgesetzes existieren hierzu umfangreiche Regelungen. Umso wichtiger ist es, sich schon vor dem Ernstfall über die rechtlichen Grundlagen zu informieren. In unserem nächsten Newsletter werden wir Ihnen dann Tipps zum richtigen Umgang und Verhalten bei Datenpannen geben. Im Interview sprechen wir mit Dr. Julia Reinsch über die Vorund Nachteile der Bestellung eines internen bzw. externen Datenschutzbeauftragten und insbesondere die arbeitsrechtlichen Aspekte bei der Vertragsgestaltung. Bitte zögern Sie nicht, uns bei Fragen, Kritik und Anregungen zu unserem Newsletter anzusprechen. Wir wünschen Ihnen eine interessante Lektüre und freuen uns auf Ihr Feedback! Ihr HLFP-IT-Rechts-Team Informationspflichten bei Data Breach IT-Security, Datenschutz und Datensicherheit sollten in jedem Unternehmen beim Umgang mit personenbezogenen Daten selbstverständlich sein. Doch auch die beste technische und organisatorische Vorsorge kann in Verbindung mit dem Faktor Mensch bzw. Zufall keine einhundertprozentige Sicherheit der Daten garantieren. Neue Arbeitsformen wie bring your own device und neue Nutzungsformen wie Cloud Computing erschweren zusätzlich die umfassende Kontrolle und Sicherheit der im Unternehmen genutzten Daten. Falls der worst case, sprich ein Datenverlust (sog. Data Breach ) eintritt, gilt es insbesondere darüber informiert zu sein, welche Maßnahmen in Bezug auf etwaige erforderliche Mitteilungen an die zuständigen Aufsichtsbehörde bzw. an die betroffenen Personen zu ergreifen sind. 1. Rechtliche Grundlagen Zum 1. September 2009 traten im Rahmen der BDSG-Novelle II zahlreiche Änderungen in Kraft. Unter anderem wurden für datenverarbeitende Unternehmen Informationspflichten eingeführt, wenn im Falle einer Datenpanne Dritte unrechtmäßig Kenntnis von personenbezogenen Daten erlangt haben. Als Vorbild für diese Informations- bzw. Meldepflichten dienten Regelungen aus dem USamerikanischen Recht, die sog. Security Breach Notifications. Die zentrale Meldepflicht findet sich im Bundesdatenschutzgesetz, in 42a BDSG. Auf die Rechtsfolgen dieser Grundnorm verweisen wiederum die spezialgesetzlich im Telemedien- und Telekommunikationsgesetz verankerten Meldepflichten in 15a TMG und 93 Abs. 3 TKG. Inhalt Informationspflichten bei Data Breach Stichwort: (Endlich) Datenschutzkonforme Cloud-Verträge? Kooperation mit Fraunhofer-Institut Google Analytics Datenschutzbehörden greifen durch Aktuelle Rechtsprechung Aktuelle Entwicklungen in der Gesetzgebung Die Qual der Wahl Die Bestellung des Datenschutzbeauftragten aus arbeitsrechtlicher Sicht - im Gespräch mit Dr. Julia Reinsch Betroffene Daten Sobald das datenverarbeitende Unternehmen durch eigene Mitarbeiter, Subunternehmer, die Aufsichtsbehörde oder aus anderen Quellen den Verdacht einer Datenpanne hat, gilt es zunächst die Art der betroffenen Daten festzustellen. Denn nicht jede Datenpanne führt zu einer entsprechenden Pflicht zur Information der Betroffenen. Nur der Verlust bestimmter personenbezogener Daten einer der folgenden Kategorien wird vom Gesetzgeber als besonders sensibel bewertet und löst eine Meldepflicht aus (sog. Risikodaten ): besondere Arten personenbezogener Daten (vgl. 3 Abs. 9 BDSG), z.b. Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben 1

2 personenbezogenen Daten, die einem Berufsgeheimnis unterliegen, z.b. Patienten- oder Mandantendaten personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder einen entsprechenden Verdacht beziehen personenbezogene Daten zu Bank- und Kreditkartenkonten, mithin sämtliche Informationen, die mit solchen Konten im Zusammenhang stehen wie die Tatsache, dass eine Kontobeziehung besteht (Kreditkarten- und Kontonummern mit oder ohne Namen des Kreditkarten- und Bankkontoinhabers, Transaktionsdaten, ausgefüllte Überweisungsvordrucke, Kreditkartenbelege, Kontoauszüge) Relevanz haben dürfte dabei vor allem die letzte Kategorie. Denn Bank- und Kreditkartendaten von Kunden dürften in jedem ERP- System eines Unternehmens zu finden sein. Zu den Bankdaten gehören alle Kontoverbindungsdaten einschließlich des Namens der Bank. 3. Verpflichteter Zur Meldung verpflichtet sind gemäß 42a S. 1 BDSG alle nichtöffentlichen Stellen im Sinne von 2 Abs. 4 BDSG, d.h. alle natürlichen und juristischen Personen, Gesellschaften und andere Personenvereinigungen. Der Auftragnehmer im Rahmen einer Auftragsdatenverarbeitung nach 11 BDSG ist nicht Adressat der Meldepflicht. Für einen etwaigen Verlust von Daten, die im Auftrag durch einen Dritten gespeichert sind (z.b. Outsourcing Rechenzentrum, Cloud-Providing) ist der Auftraggeber verantwortlich. Für Verzögerungen wie eine zu späte Kenntniserlangung des Datenverlusts haftet der Auftraggeber. Ihm obliegt es, dafür zu sorgen, dass ihn der Dienstleister bei jeglichem Verdacht einer Datenpanne bzw. eines Datenverlustes unverzüglich und umfassend informiert. Diese Pflicht sollte daher in jedem Fall bei der Gestaltung des Vertrags zur Auftragsdatenverarbeitung beachtet werden (vgl. 11 Abs. 2 Nr. 8 BDSG). 4. Unrechtmäßig erlangte Kenntnis Das Merkmal, dass Dritten die Daten unrechtmäßig zur Kenntnis gelangt sein müssen, dürfte in den meisten Fällen zu bejahen sein. Denn eine absolute Gewissheit im Sinne positiver Kenntnis muss nicht vorliegen. Es reicht vielmehr aus, wenn es entweder offensichtlich ist oder tatsächliche Anhaltspunkte vorliegen, dass Dritte mit gewisser Wahrscheinlichkeit Kenntnis nehmen konnten. Dies mag im Einzelfall z.b. dann zu verneinen sein, wenn anhand Logdateien sichergestellt werden kann, dass von außen kein Zugriff auf aus Versehen veröffentlichte Daten stattgefunden hat oder wenn bei Datenverlust wegen ausreichender Verschlüsselung ein Zugriff ausgeschlossen ist. Nicht nur außerhalb des Unternehmens stehende Personen, z.b. Kunden, können Dritte im Sinne des 42a BDSG sein. Auch Verstöße der eigenen Mitarbeiter können unter Umständen eine Meldepflicht des Arbeitgebers auslösen, z.b. wenn Mitarbeiter das Internet und nutzen und auf diesem Wege unbefugt Daten versenden oder diese unbefugt auf externen Medien wie USB- Sticks speichern und aus dem Unternehmen mit nach Hause nehmen. In diesen Fällen erfolgt die Versendung bzw. Mitnahme der Daten nicht im Rahmen der arbeitsvertraglichen Befugnisse des Mitarbeiters. Er handelt aus eigener Motivation heraus und ist somit nicht mehr Teil der Organisation, sondern wird selbst zum Dritten (vgl. 3 Abs. 8 S. 2 BDSG). Auf diesem Weg erfolgt somit eine unrechtmäßige Kenntniserlangung durch einen Mitarbeiter als Dritten, die ebenfalls eine Meldepflicht des Arbeitgebers auslösen kann. Auf ein Verschulden des Arbeitgebers, z.b. wegen mangelnder Kontrolle, kommt es für die Meldepflicht hingegen nicht an. 5. Schwerwiegende Beeinträchtigung Ähnliches gilt auch für die Voraussetzung, dass schwerwiegende Beeinträchtigungen der Rechte oder Interessen der betroffenen Personen drohen müssen. Da das datenverarbeitende Unternehmen in der Verantwortung steht und das Risiko einer fehlerhaften Gefahrenprognose trägt, muss es selbst entscheiden, ob eine Informationspflicht besteht oder nicht. Daher sollte im Zweifelsfall von einer schwerwiegenden Beeinträchtigung ausgegangen werden. Diese wird ohnehin anzunehmen sein, wenn nicht aufklärbar ist, wer und wie viele Dritte möglicherweise Kenntnis erlangt haben, also die Gefahr besteht, dass eine unüberschaubare Anzahl von Personen Einsicht in bzw. Zugriff auf die sensiblen Daten nehmen konnte. 6. Zeitpunkt und Adressaten der Meldung Die erforderliche Mitteilung hat unverzüglich zu erfolgen und ist zum einen an die zuständige Aufsichtsbehörde und zum anderen an die vom Datenverlust betroffenen Personen zu richten. Dabei sind von der Reihenfolge her vorrangig die Aufsichtsbehörde und im Anschluss die betroffenen Personen zu informieren. Bezüglich der Information der Betroffenen gewährt das Gesetz einen gewissen zeitlichen Spielraum, da die Information erst nach der Einleitung angemessener Maßnahmen zur Sicherung der Daten erfolgen soll. Es besteht daher die Möglichkeit, den Vorgang kurzfristig aufzuklären, etwaige Sicherheitslücken und Datenströme zu analysieren und einer weiteren Kenntniserlangung vorzubeugen. Welcher Zeitraum dabei noch als unverzüglich gilt, kann nicht generell bestimmt werden. Unverzüglich bedeutet zunächst ohne schuldhaftes Zögern. Neben der Schließung etwaiger Sicherheitslücken dürfte es in jedem Fall erlaubt und geboten sein, zur Unterstützung parallel einen Rechtsanwalt mit der datenschutzrechtlichen Prüfung des Sachverhalts zu beauftragen. 7. Inhalt und Form der Meldung Die betroffenen Personen und die Aufsichtsbehörde sind konkret über den Sachverhalt, der zum Datenverlust geführt hat, zu unter- 2

3 richten (Art der unrechtmäßigen Kenntniserlangung). Dazu gehört z.b., welche Pflichtverletzung durch einen Mitarbeiter erfolgt ist oder welche Panne bei der Datenverarbeitung im beauftragten Rechenzentrum aufgetreten ist. Geschäfts- und Betriebsgeheimnisse müssen dabei nicht offenbart werden, d.h. technische Einzelheiten über Sicherheitslücken der eigenen IT sind nicht mitzuteilen. Der Betroffene ist ferner zu informieren bzw. ihm ist Hilfestellung zu bieten, wie er selbst etwaigen Schaden abwenden kann, z.b. durch Änderung seiner Login- und Passwortdaten. Zu Beweissicherungszwecken sollte die Mitteilung zumindest in Textform, d.h. via oder Fax erfolgen. Zusätzlich zu diesen inhaltlichen Vorgaben muss die Aufsichtsbehörde über mögliche nachteilige Folgen des data breach sowie über diejenigen Maßnahmen unterrichtet werden, die nach Bekanntwerden des Datenverlusts ergriffen worden sind. Die Mitteilung muss so umfassend sein, dass es der Aufsichtsbehörde ermöglicht wird, selbst zu prüfen, ob eine unrechtmäßige Kenntniserlangung zukünftig ausgeschlossen ist. 8. Sanktionen Verstöße gegen die Meldepflicht können als Ordnungswidrigkeit gemäß 43 Abs. 2 Nr. 7 BDSG, 10 OWiG geahndet werden. Als Verstoß gegen die Informationspflicht gilt dabei schon jede Mitteilung, die vom datenverarbeitenden Unternehmen vorsätzlich oder fahrlässig nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig gemacht wird. Die Höhe des Bußgelds kann in Abhängigkeit von der Schwere des Verstoßes bis zu Euro betragen. Dieser Betrag kann sogar noch überschritten werden, falls aus dem Verstoß ein wirtschaftlicher Vorteil generiert wurde. 9. Fazit Datenverluste erfordern von allen Beteiligten schnelle Reaktionen und Entscheidungen. Jedenfalls rudimentär sollte daher ein Notfallplan in Form eines Data Breach Notification Managements im Unternehmen implementiert und die Mitarbeiter, insbesondere der Datenschutz- und ggf. der Compliance-Beauftragte, wegen der Sensibilität dieses Themas für das Unternehmen entsprechend geschult werden. Die Praxisgruppe IT-Recht von Hoffmann Liebs Fritsch & Partner ist für Sie im Fall von Datenpannen erreichbar! Wir bieten unseren Mandanten für den Ernstfall einen Hotline- Service via Telefon und an. Bei Fragen kontaktieren Sie Herrn Peter Huppertz unter (0221) Für unsere Mandanten haben wir speziell zum Thema Data Breach einen Leitfaden Richtiges Verhalten bei Datenpannen erstellt, den wir Ihnen gerne auf Anfrage, z.b. via an it-recht@hlfp.de zukommen lassen. Stichwort (Endlich) Datenschutzkonforme Cloud-Verträge? An dem Thema Cloud-Computing kam man auf der letzten Cebit nicht vorbei. Die Nachfrage von Unternehmen nach Leistungen aus der Wolke ist ungebrochen. Doch was hat sich beim Thema Datenschutz getan? Sind die Verträge von Microsoft, Google und Co. datenschutzkonform? Nach eigenem Bekunden hat Microsoft die Führung beim Datenschutz im Cloud Computing übernommen. In einer Pressemeldung vom 5. Dezember 2011 heißt es, dass Microsoft Deutschland Maßstäbe bei der Datensicherheit setze und die Forderungen der deutschen Datenschützer transparent umsetze. Laut Meldung von Heise am 6. Dezember 2011 bescheinige auch das Bayerische Landesamt für Datenschutzaufsicht, dass Microsoft mit seinen neuen Verträgen die Regelungen des deutschen Datenschutzrechts erfülle. Unter kann sich jedermann die neuen EU-konformen Verträge ansehen. Genau das haben wir getan und kommen zu folgendem Ergebnis: Laut den uns vorliegenden Informationen sollen die personenbezogenen Daten, die im Rahmen der Nutzung von Microsoft Office 365 anfallen, durch die Microsoft Ireland Operations Ltd. im Auftrag des jeweiligen Kunden gespeichert werden. Ferner ist angedacht, dass zudem auch die in den USA ansässige Microsoft Corporation Serviceleistungen im Rahmen des Office 365 Dienstes erbringen soll. Datenschutzrechtlich ist daher für die Übermittlung von personenbezogenen Daten an die Microsoft Ireland Operation Ltd. zunächst erforderlich, dass diese als Auftragsdatenverarbeiter i.s.d. 11 BDSG eine entsprechende schriftliche Vereinbarung zur Auftragsdatenverarbeitung mit dem jeweiligen Endkunden abschließt. Die rechtlichen Anforderungen an eine solche Vereinbarung ergeben sich unmittelbar aus dem in 11 Abs. 2 BDSG enthaltenen Katalog von Regelungspunkten. Das von Microsoft verwendete Enterprise Enrollment Addendum Office 365 Data Processing Agreement (nachfolgend MS Agreement ) dürfte die Anforderungen von 11 Abs. 2 BDSG jedoch nur zum Teil erfüllen. Insbesondere gewährt diese Standardvereinbarung dem Endkunden nicht das Recht, die Datenverarbeitung durch die Microsoft Ireland Ltd. selbst oder durch vom Endkunden beauftragte Prüfer im Hinblick auf die Einhaltung der technischen und organisatorischen Maßnahmen zu überprüfen. Vielmehr erhält der Endkunde lediglich einen Bericht über eine durch Microsoft selbst durchgeführte bzw. von Microsoft beauftragte Auditierung. Da insoweit der Endkunde letztendlich auch bei begründetem Verdacht von Datenschutzverletzungen keine Möglichkeit hat, die Einhaltung der technischen und organisatorischen Maßnahmen im Einzelfall selbst überprüfen zu lassen, dürfte diese Regelung im Hinblick auf die strenge Auslegung der Aufsichtsbehörden problematisch sein. 3

4 Im Hinblick auf die Übermittlung von personenbezogenen Daten an die Microsoft Corporation mit Sitz in den USA ist nach dem Microsoft-Vertragsmodell vorgesehen, dass zwischen dieser und dem Endkunden die Standardvertragsklauseln der EU-Kommission 2010/87/EU vom 5. Februar 2010 abgeschlossen werden. Dieser richtige Ansatz wird jedoch dadurch wiederum in Frage gestellt, da einige Regelungen im bereits genannten MS Agreement den Regelungen der EU-Standardvertragsklauseln widersprechen bzw. nicht ersichtlich ist, in welcher Rangfolge die beiden Regelwerke zueinander stehen. Insgesamt bestehen daher aus unserer Sicht begründete Zweifel, ob das von Microsoft vorgeschlagene Vertragsmodell auch von den strengeren Aufsichtsbehörden als datenschutzkonform angesehen wird. Selbst das Bayerische Landesamt für Datenschutzaufsicht hat uns gegenüber bestätigt, dass im Hinblick auf die von Microsoft gewählte Vertragsgestaltung keine datenschutzrechtliche Komplett-Unbedenklichkeitsbescheinigung bestehe, sondern dass vielmehr der jeweilige Endkunde in der Pflicht bleibe, die datenschutzkonforme Nutzung von Microsoft Office 365 zu überprüfen und zu beurteilen. Kooperation mit Fraunhofer-Institut für Materialfluss und Logistik IML Seit Anfang des Jahres kooperiert Hoffmann Liebs Fritsch & Partner mit dem Fraunhofer-Institut für Materialfluss und Logistik IML. Gegenstand der Zusammenarbeit ist die Beratung von mittelständischen Unternehmen bei der Durchführung von Softwareprojekten. Dabei wird das Fraunhofer-Institut die technischen Fragestellungen und die tatsächliche Projektgestaltung, insbesondere die vorbereitende Analyse und das Anforderungsmanagement, betreuen, während wir für die rechtlichen Gestaltungsmöglichkeiten solcher IT- Projekte Rat geben. Google Analytics Datenschutzbehörden greifen durch Inzwischen sind die Behörden dazu übergegangen, den korrekten Einsatz von Google Analytics bei den Unternehmen zu überprüfen. Begonnen hat dies der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, der im Januar 2012 stichprobenartige Überprüfungen durchgeführt hat. Es folgte das Bayerische Landesamt für Datenschutzaufsicht, das insgesamt Webseitenanbieter geprüft hat. Dabei nutzten Webseiten bayerischer Anbieter das Tracking-Programm, wovon allerdings nur 78, also lediglich drei Prozent, das Programm datenschutzkonform einsetzen. Von einer Verhängung von Bußgeldern hat die Behörde jedoch zunächst abgesehen. Ferner ist uns bekannt worden, dass mittlerweile auch die Datenschutzbehörde in Nordrhein-Westfalen zu entsprechenden Prüfungen übergegangen ist. Erst Anfragen aus unserer Mandantschaft liegen hierzu vor. Da die Verwendung von Google Analytics jetzt in das Augenmerk der Datenschützer gerückt ist und verstärkt überprüft wird, sollte man noch einmal sicherstellen, dass die aktuellen Anforderungen an die Nutzung der Tracking-Software erfüllt sind. Diese Anforderungen können auf den Webseiten der Behörden nachvollzogen werden, z.b.: Google_Analytics.php Zukünftige Änderungen der Anforderungen können sich durch die Umsetzung der sog. Cookie-Richtlinie (Richtlinie 2009/136/EG) in deutsches Recht ergeben. Entsprechende Vorschläge zur Änderung des TMG sind zweifach gescheitert, obwohl die Umsetzungsfrist der Richtlinie bereits seit Mai 2011 abgelaufen ist. Solange keine nationale Neuregelung in Kraft getreten ist, bleibt der von den Behörden benannte Anforderungskatalog demnach weiter der maßgebliche. Im Wesentlichen gilt es daher sicherzustellen, mit Google einen Vertrag zur Auftragsdatenverarbeitung schriftlich abzuschließen, der den Voraussetzungen in 11 BDSG entspricht, den Nutzer in der Datenschutzerklärung umfassend über die Verwendung seiner Daten durch Google Analytics aufzuklären, ihn auf seine Widerspruchsmöglichkeit hinzuweisen, seine IP-Adressen durch das anonymizeip()-tool von Google zu anonymiseren und bestehende Altdaten von Google Analytics zu löschen. Nachdem die Aufsichtsbehörden Jahre mit Google über eine datenschutzkonforme Verwendung der Tracking-Software Google Analytics diskutiert haben, wurden im September 2011 von den Behörden die Voraussetzungen veröffentlicht, unter denen dies in zulässiger Weise geschehen kann. 4

5 Aktuelle Rechtsprechung Nun doch endlich die Online-Erschöpfung! Zur Möglichkeit der Weiterveräußerung von Download-Software EuGH, Urteil vom Rs. C 128/11 ( UsedSoft ) In Sachen UsedSoft hat sich der EuGH entgegen der überwiegenden Anzahl deutscher instanzgerichtlicher Entscheidungen für die Möglichkeit einer Erschöpfung von online erworbener Software ausgesprochen. Somit kann sich ein Softwarehersteller nicht mehr gegen den Weiterverkauf von Download-Software zur Wehr setzen. Denn laut dem EuGH erschöpft sich das ausschließliche Recht zur Verbreitung einer derart lizenzierten Programmkopie mit dem Erstverkauf. Der EuGH legt den Erschöpfungsgrundsatz weit aus und begründet sein Urteil damit, dass sich der Vorgang des Downloads unbefristet überlassener Software als Verkauf darstelle und der Urheber insoweit seine Vergütungsinteressen für diese Software hinreichend abgedeckt hat. Im Vergleich mit dem Erwerb der Software auf einem Datenträger stelle sich dies wirtschaftlich gesehen als vergleichbar dar. Eine Beschränkung des Weiterverkaufs von aus dem Internet heruntergeladenen Programmkopien sei demgegenüber widersprüchlich zu dem, was zur Wahrung des spezifischen Gegenstands des fraglichen geistigen Eigentums erforderlich ist. Das Gericht ist insgesamt nicht so auf den Wortlaut des Erschöpfungsgrundsatzes in 69c Nr.3 UrhG bzw. Art. 4 Abs. 2 der Richtlinie 2009/24 fixiert wie die meisten deutschen Gerichte und macht dessen Anwendbarkeit richtigerweise daher nicht von einer Verkörperung der Software auf einem Datenträger abhängig. Beachtlich ist, dass sich die Erschöpfung des Verbreitungsrechts laut dem EuGH sogar ausdrücklich auf die Programmkopie in der vom Urheberrechtsinhaber verbesserten und aktualisierten Fassung erstrecken soll. Außerdem hat der EuGH auch die weiteren Vorlagefragen im Wesentlichen zugunsten des Weiterverkaufs beantwortet. Aus der obigen Wertung, wonach der Softwarehersteller dem Weiterverkauf einer Programmkopie nicht widersprechen kann, folgert das Gericht, dass der zweite und jeder weitere Erwerber dieser Kopie als rechtmäßiger Erwerber im Sinne von Art. 5 Abs. 1 der Richtlinie 2009/24 anzusehen ist. Dies bedeutet, dass die Erwerber die Software auf ihren Computern auch urheberrechtskonform benutzen dürfen. Denn soweit sie dazu die Programmkopie herunterladen und zur Nutzung vervielfältigen müssen, liegen urheberrechtlich relevante Handlungen vor, die grundsätzlich vom Softwareurheber legitimiert sein müssen. Mit Anerkennung als rechtmäßige Erwerber im Sinne von Art. 5 Abs. 1 der Richtlinie 2009/24 kommt es darauf aber nicht mehr an, da diese Handlungen erforderlich sind, um das Programm bestimmungsgemäß nutzen zu können. Der EuGH begründet diese Entscheidung damit, dass ansonsten die vorherige Wertung zur Erschöpfung, die die Weiterveräußerung von online erworbener Software gerade ermöglichen soll, bedeutungslos wäre. Im Gegensatz zu den Schlussanträgen des Generalanwalts Yves Bot, der den Erwerbern noch das Vervielfältigungsrecht zur bestimmungsgemäßen Nutzung der Software verweigert und somit ein praktisch widersprüchliches Modell beantragt hat, hat der EuGH hier eine begrüßenswerte und konsistente Lösung vorgestellt. Der Erwerb von Gebrauchtsoftware wird indes an zwei Einschränkungen geknüpft. Zum einen ist eine Aufspaltung von Lizenzen weiterhin nicht möglich. Das Erschöpfungsrecht gebe es laut dem EuGH schließlich nicht her, eine den Bedarf an Nutzern übersteigende Lizenz aufzuspalten und das Nutzungsrecht nur für eine vom ursprünglichen Erwerber bestimmte Nutzerzahl weiterzuverkaufen. Zum anderen muss dieser die heruntergeladene Kopie zum Zeitpunkt des Weiterverkaufs unbrauchbar machen. Mit Spannung kann darauf gewartet werden, wie sich die Entscheidung auf den Softwaremarkt auswirkt. Da die europäischen Rechtsgrundlagen vom EuGH zugunsten eines Weiterverkaufs von online erworbener Software ausgelegt wurden, kommt auch der BGH wohl nicht mehr umhin, diese Wertung anzuerkennen. Insofern ist ein Meilenstein im Bereich des Gebrauchtsoftwarehandels geschaffen und das vermeintlich totgesagte Geschäftsmodell könnte zu ganz neuer Stärke finden, zumal dann auch endlich die Rechtsunsicherheiten beseitigt wären. Keine Ansprüche des Herstellers aus Urheberund Markenrecht wegen Bearbeitung seiner unter der GPL lizenzierten Software LG Berlin, Urteil vom O 255/10 Orientierungssätze 1. Sammelwerke, die Open-Source-Software enthalten, unterliegen nach 2 General Public License (GPL) als Ganzes den Bedingungen der GPL. 2. Modifikationen einer unter der GPL stehenden Software eines DSL-Routers sind urheberrechtlich zulässig. Anmerkung Im letzten Newsletter hatten wir bereits über das im Verfügungsverfahren ergangene Urteil des KG Berlin und die Anwendbarkeit der GPL berichtet. Nunmehr hat das Landgericht Berlin im Hauptsacheverfahren u.a. zu den urheberrechtlichen Fragen Stellung genommen und die Klage des Herstellers der Fritz-Box im Hauptantrag abgewiesen. Dritten ist es somit gestattet, Modifikationen der auf dem Linux-Kernel basierenden Firmware der DSL-Router, die unter der GPL lizenziert ist, vorzunehmen. Zur Begründung führte das Gericht aus, dass die Firmware ein Sammelwerk i.s.v. 4 Abs. 1 UrhG sei und insgesamt den Bedingungen der GPL unterliege. Eine Software, die wie vorliegend unter der GPL stehende Open Source-Bestandteile den Linux-Kernel enthält, unterliege als Ganzes den Bedingungen der GPL, wenn die Software insgesamt maßgeblich von den Open-Source-Elementen abhängt (vgl. 2 GPL). Hintergrund dieser Regelung ist, dass derjenige, der vo- 5

6 den Vorteilen von Open-Source-Software in einem maßgeblichen Umfang profitiert, sich auch an den Bedingungen der GPL festhalten lassen muss. Die Bedingung der in 4 GPL enthaltenen sog. Copyleft -Klausel besagt, dass auch bei kommerzieller Nutzung von Open-Source- Software jedem Nutzer aufgrund einer eingeräumten Lizenz die Benutzung und Bearbeitung der Software gestattet ist, soweit er sich verpflichtet, seine Umgestaltungen bzw. Bearbeitungen ebenfalls der GPL zu unterstellen. Hierdurch soll die freie Weiterentwicklung von Open-Source-Software und der darauf basierenden Entwicklungen sichergestellt werden. Die Copyleft-Klausel der GPL infizierte mithin die Firmware von AVM. Hersteller von Hardware mit Open-Source-Software-Bestandteilen, die nach der GPL zu lizenzieren sind, können das Aufspielen von modifizierten Versionen der Open-Source-Software durch dritte Softwareanbieter somit nicht urheberrechtlich untersagen. Für den Fall, dass durch die Verwendung einer aufgespielten modifizierten Version die Funktionalität der vorhandenen Firmware beeinträchtigt wird, verbleibt es bei einem wettbewerblichen Unterlassungsanspruch. Aktuelle Entwicklungen in der Gesetzgebung Entwurf einer neuen Verordnung und Richtlinie zum Datenschutz Die EU-Kommissarin Viviane Reding hat der Öffentlichkeit am 25. Januar 2012 eine umfassende Reform der aus dem Jahr 1995 stammenden Vorschriften zum Datenschutz angekündigt. In Ihrer Pressemitteilung stellte Reding klar, dass vor 17 Jahren gerade einmal ein Prozent der EU-Bevölkerung das Internet genutzt hat. Heutzutage erfordern der internationale Datenaustausch und der Schutz personenbezogener Daten jedoch ein neues, transparenteres und europaweit harmonisiertes Datenschutzrecht. Hierzu wurden zwei Entwürfe vorgestellt, zum einen der Entwurf einer Verordnung zur Festlegung eines allgemeinen Rechtsrahmens zum Datenschutz und zum anderen der einer Richtlinie zum Schutz personenbezogener Daten, die zum Zweck der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten und für damit verbundene justizielle Tätigkeiten verarbeitet werden. Entwurf einer neuen Datenschutzverordnung Während bislang die so genannte Datenschutz-Rahmenrichtlinie (EC/95/46) wegen des Charakters als Richtlinie in den EU-Mitgliedsstaaten durch nationale Regelungen umgesetzt werden musste, soll die Rechtssetzung nunmehr in Gestalt einer Verordnung erfolgen, welche unmittelbar geltendes europäisches Recht in jedem EU-Mitgliedsstaat darstellt. Dies bedeutet, dass alle nationalen datenschutzrechtlichen Regelungen ersetzt und somit zukünftig einheitlich in der Union geregelt werden. Anwendungsbereich Disclaimer Diese Veröffentlichung hat den Stand 21. Juni Die darin enthaltenen Informationen sind allgemeiner Natur und ohne vorherige Beratung im Einzelfall nicht als Entscheidungsgrundlage geeignet. Sie ersetzen insbesondere keine rechtliche Beratung im Einzelfall. Für die Vollständigkeit und Richtigkeit der in dieser Veröffentlichung enthaltenen Informationen wird keine Haftung übernommen. Die Verordnung enthält einen weiten Ansatz, wann das europäische Datenschutzrecht Anwendung finden soll. Für die Anwendbarkeit des europäischen Datenschutzrechts soll es nicht darauf ankommen, ob die Datenverarbeitung selbst in der EU stattfindet. Die Verordnung gilt z.b. auch dann, wenn ein nicht in der EU ansässiges Unternehmen Daten verarbeitet, die Bürger der EU betreffen. Impressum Hoffmann Liebs Fritsch & Partner, Kaiserswerther Straße 119, Düsseldorf Als Verantwortlicher im Sinne des 55 RStV steht Ihnen zur Verfügung: Claus Eßers, Hoffmann Liebs Fritsch & Partner, Kaiserswerther Straße 119, Düsseldorf, claus.essers@hlfp.de Die Rechtsanwälte Hoffmann Liebs Fritsch & Partner sind Mitglieder der Rechtsanwaltskammer Düsseldorf und durch die Präsidenten des Landgerichts Düsseldorf sowie des Oberlandesgerichts Düsseldorf als solche in Deutschland zugelassen. Sie unterliegen berufsrechtlichen Regelungen. Diese werden auf der Homepage der Bunderechtsanwaltskammer bereitgehalten. 6

7 Datenverarbeitung außerhalb der EU Ein Hauptaugenmerk der Verordnung liegt auf der außereuropäischen Verarbeitung von Daten. Zum einen soll durch eine sog. Adäquanzprüfung von der Kommission entschieden werden, ob Nicht-EU-Staaten vergleichbare Standards zum Datenschutz aufweisen. Ferner soll durch das bereits existierende Instrument der Standardvertragsklauseln mit ihren entsprechenden Verpflichtungen sichergestellt werden, dass außereuropäische Datenverarbeitungen einem angemessenen Schutzniveau unterliegen. In diesem Zusammenhang sollen auch sog. Binding Corporate Rules zu einer handhabbaren Alternative werden. Die aktuell hohen Hürden zur Implementierung und das Prüfungsverfahren durch die Aufsichtsbehörde sollen vereinfacht und weniger kostenintensiv für Unternehmen werden. Einwilligung Straf- und Bußgelder Die in der Verordnung vorgesehenen Bußgelder liegen weit über denen des deutschen Bundesdatenschutzgesetzes. Die einzelnen Beträge sind gestaffelt und stellen auf die Schwere des Verstoßes ab. So können bis zu EUR oder bis zu zwei Prozent des weltweiten Jahresumsatzes eines Unternehmens für Verstöße fällig werden. Inkrafttreten Der Entwurf wird nun dem Europäischen Parlament und den EU-Mitgliedstaaten zur weiteren Erörterung übermittelt und dürfte in den anstehenden Beratungen sicherlich noch einige Änderungen erfahren. Bis zur endgültigen Verabschiedung dürften Zeiträume von bis zu zwei Jahren zu veranschlagen sein. Mit dem Inkrafttreten dürfte daher nicht vor 2015 zu rechnen sein. Welche Rolle zukünftig das Instrument der Einwilligung spielen wird, ist nur schwer vorauszusehen. Nach Artikel 7 Abs. 4 des Entwurfs soll eine Einwilligung nur dann zulässig sein, wenn kein signifikantes Ungleichgewicht in Form einer Abhängigkeit zwischen Betroffenem und Verarbeiter besteht. Dem ersten Eindruck nach scheint der Wortlaut des Artikels nur die Datenverarbeitung im Beschäftigungsverhältnis zu meinen. Aufgrund der allgemeinen Formulierung besteht jedoch leider Interpretationsspielraum für andere Formen der Datenverarbeitung. Data Breach Notification Im Fall von schweren Datenpannen sollen Unternehmen die nationale Aufsichtsbehörde unverzüglich, d. h. nach Möglichkeit innerhalb von 24 Stunden, benachrichtigen. Datenschutzbeauftragter Im Gegensatz zur strengen Regelung im deutschen Datenschutzrecht soll die Pflicht zur Bestellung eines Datenschutzbeauftragten Unternehmen erst treffen, wenn diese mehr als 250 Mitarbeiter beschäftigen und wenn die Haupttätigkeit nicht mit personenbezogenen Daten direkt in Verbindung steht. Die Ernennung soll für zwei Jahre erfolgen und einen besonderen Schutz vor Kündigungen bieten. Betroffenenrechte Der Entwurf sieht eine Stärkung der Rechte der von Datenverarbeitung betroffenen Personen vor. An erster Stelle zu nennen ist das Recht auf Vergessen werden und des Ausradierens ( right to be forgotten ). So sollen Datenverarbeiter verpflichtet werden, personenbezogene Daten zu vergessen, sprich löschen, wenn der Betroffene dies will. Hiermit gemeint ist nach Artikel 15 indes nicht nur der eigene Datenbestand, sondern jedwede Kopie der Daten im Internet und ggf. sogar jede Verlinkung. Wie dieser Anspruch faktisch zu verwirklichen sein soll, ist überaus fraglich. 7

8 Die Qual der Wahl Die Bestellung des Datenschutzbeauftragten aus arbeitsrechtlicher Sicht Im Gespräch mit Dr. Julia Reinsch begeht oder die Aufsichtsbehörde seine Abberufung verlangt. Aufgrund dieser sehr engen Voraussetzungen ist ein einmal bestellter Datenschutzbeauftragter daher im Regelfall nur noch fristlos kündbar. Der Sonderkündigungsschutz wirkt sogar noch nach Beendigung der Bestellung für ein Jahr fort. Im Ergebnis kann sich das Frau Reinsch, Sie sind als Partnerin in der Praxisgruppe Arbeitsrecht bei HLFP tätig und arbeiten in datenschutzrechtlichen Compliance-Fragen Hand in Hand mit der Praxisgruppe IT. Wie gut ergänzen Sie sich? Zwischen Arbeitsrecht und IT-Recht gibt es zahlreiche Schnittstellen. Beispiele hierfür sind Fragen im Zusammenhang mit den Möglichkeiten des Arbeitgebers zur Kontrolle des -Verkehrs und der Internetnutzung seiner Mitarbeiter oder auch Fragen zur Erfassung und weltweiten Übermittlung von Personaldaten im Konzern. Auch zahlreiche Betriebsvereinbarungen weisen als klassisches arbeitsrechtliches Handlungsinstrument im Unternehmen häufig datenschutz- und IT-rechtliche Fragestellungen auf. Hier ist es äußerst hilfreich, wenn die Praxisgruppen eng zusammenarbeiten und auch aus gemeinsamen Projekten bereits die jeweilige Problemstellung kennen. Der arbeitsrechtliche Blickwinkel ist in der Regel ein anderer als der datenschutzrechtliche. Aus Sicht des Datenschutzes wären zahlreiche Regelungen besser restriktiv auszulegen und anzuwenden, um Risiken zu vermeiden. Aus Sicht des Arbeitgebers, der möglichst umfassende Einsichts-, Kontrollund Datenverarbeitungsrechte zur Verfügung haben möchte, ist hier die Grenze des datenschutzrechtlich Zulässigen zu finden. Bei HLFP arbeiten beide Praxisgruppen schon seit vielen Jahren auf dem Gebiet des Datenschutzes Hand in Hand, so dass für den Mandanten optimale Ergebnisse erzielt werden. Die Bestellung eines Datenschutzbeauftragten ist für die meisten Unternehmen verpflichtend. Wo liegen aus Ihrer Sicht die Vor- und Nachteile eines internen oder externen Datenschutzbeauftragten? Für den internen Datenschutzbeauftragten besteht ein besonderer Kündigungsschutz, d.h. er kann während seiner Bestellung nur aus wichtigem Grund, also fristlos gekündigt werden. Aber auch die Bestellung selbst kann nur aus wichtigem Grund widerrufen werden. Ein Widerruf ist daher nur zulässig, wenn der Datenschutzbeauftragte schwerwiegende Verletzungen seiner Amtspflichten Unternehmen von einem Mitarbeiter, der zum Datenschutzbeauftragten bestellt worden ist, praktisch nur noch sehr schwer trennen. Welche Variante würden Sie aus arbeitsrechtlicher Sicht Unternehmen empfehlen? Aus arbeitsrechtlicher Sicht empfiehlt sich die Bestellung eines externen Datenschutzbeauftragten. Arbeitsverhältnisse bestehen häufig für lange Zeiträume und unterliegen dem Risiko, dass im Laufe der Jahre Änderungen aus betrieblichen oder persönlichen Gründen notwendig werden. Entscheidet sich der Arbeitgeber für einen internen Datenschutzbeauftragten ist ihm wegen des bestehenden Sonderkündigungsschutzes dauerhaft die Möglichkeit für notwendige personelle Änderungen genommen. Dies führt in der Praxis häufig zu erheblichen Schwierigkeiten und im Falle einer notwendigen Trennung zu hohen Kosten für den Arbeitgeber, da er sich die Trennung mangels rechtlicher Möglichkeiten vom Arbeitnehmer erkaufen muss. Sowohl bei der Bestellung eines externen, als gerade auch bei der eines internen Datenschutzbeauftragten, sollte die Vertragsgestaltung daher sehr sorgfältig erfolgen. Kontaktdaten unserer Interviewpartnerin Dr. Julia Reinsch Rechtsanwältin Telefon (0211) Telefax (0211)

9 Team IT-Recht Peter Huppertz LL.M. Rechtsanwalt Fachanwalt für Informationstechnologierecht Partner Telefon (0211) Telefax (0211) Dr. Mathias Schneider Rechtsanwalt Telefon (0211) Telefax (0211) Hoffmann Liebs Fritsch & Partner Kaiserswerther Straße Düsseldorf Telefon (0211) Telefax (0211) Hoffmann Liebs Fritsch & Partner ist auf die Beratung von Unternehmen spezialisiert und verfügt über ein hochkarätiges Team von langjährig im IT-Recht erfahrenen Experten. Beleg dafür ist die Auszeichnung als Mittelständische Kanzlei des Jahres 2004, die uns der renommierte JUVE-Verlag als Ergebnis einer bundesweiten Umfrage unter über Mandanten und Rechtsanwälten verliehen hat, sowie die erneute Nominierung für diesen Preis im Jahr Der mittelständische Zuschnitt der Sozietät ermöglicht eine rasche und flexible Beratung auf unternehmerischer Augenhöhe zu attraktiven Konditionen.